Harvester Despliega Backdoor GoGra en Linux en Asia del Sur
Publicado el
Introducción
El grupo de ciberamenazas conocido como Harvester ha sido relacionado con la implementación de una nueva variante de su backdoor GoGra en sistemas Linux, con el objetivo de atacar a entidades en Asia del Sur. Este malware se apoya en la legítima API de Microsoft Graph y en buzones de correo de Outlook como canal encubierto de comando y control (C2), lo que le permite sortear las defensas de red convencionales.
Detalles de la Amenaza
Según un informe del equipo de Symantec y Carbon Black Threat Hunter, se identificaron artefactos asociados a estas actividades en la plataforma VirusTotal provenientes de India y Afganistán, lo que sugiere que estos dos países podrían ser los objetivos del espionaje. La actividad de Harvester fue documentada por primera vez por Symantec a finales de 2021, vinculándola con una campaña de robo de información dirigida a los sectores de telecomunicaciones, gubernamental y tecnológico en Asia del Sur desde junio de ese año.
En un ataque posterior en agosto de 2024, se conectó al grupo con un ataque contra una organización mediática no identificada en Asia del Sur, utilizando un backdoor basado en Go que no había sido visto anteriormente, llamado GoGra. Las últimas investigaciones indican que el adversario está ampliando su conjunto de herramientas más allá de Windows, infectando también máquinas con Linux mediante esta nueva variante.
Mecanismo de Infección
Los ataques se llevan a cabo mediante técnicas de ingeniería social que inducen a las víctimas a abrir archivos ELF disfrazados como documentos PDF. Una vez ejecutado, el dropper muestra un documento atractivo mientras opera el backdoor en segundo plano.
La versión de GoGra para Linux utiliza la infraestructura en la nube de Microsoft para comunicarse con una carpeta de correo de Outlook llamada "Zomato Pizza" cada dos segundos, utilizando consultas OData. El backdoor escanea la bandeja de entrada en busca de mensajes de correo electrónico cuyo asunto comience con la palabra "Input". Al recibir un correo que cumpla con estos criterios, descifra el cuerpo del mensaje, codificado en Base64, y lo ejecuta como comandos de shell a través de /bin/bash. Los resultados de esta ejecución se envían de vuelta al operador en un correo con el asunto "Output". Tras completar esta etapa de exfiltración, el implante borra el mensaje original para ocultar sus huellas.
Conclusiones
A pesar de las diferentes arquitecturas de despliegue y sistemas operativos, la lógica subyacente del C2 se mantiene sin cambios. Symantec y Carbon Black han observado varios errores de ortografía codificados que coinciden en ambas plataformas, lo que sugiere que el mismo desarrollador está detrás de ambas herramientas. La utilización de un nuevo backdoor para Linux demuestra que Harvester sigue expandiendo su arsenal y desarrollando nuevas herramientas para atacar un rango más amplio de víctimas y dispositivos.
Este tipo de amenazas subraya la importancia de la ciberseguridad y la necesidad de medidas proactivas para proteger la infraestructura crítica en Asia del Sur y otras regiones potencialmente vulnerables.